掛在公網的服務，如何防止被漏洞掃描，掃描方可能會通過不同的代理ip、隨機時間、隨機次數對web服務進行掃描，除了防火牆做頻率限制，有沒有較為徹底的防止手段呢

判斷一下，有惡意的payload請求過來，就把類似的請求都redirect到有關部門。

你要上街逛就免不了被人瞅啊。

可以考慮的防禦的手段有以下幾種：

1、使用 CDN 作為外部服務的入口,公網服務僅允許來自 CDN機房的ip進行訪問。通過 CDN分流掃描器的流量，同時利用 CDN 的雲WAF 攔截功能屏蔽掃描器的訪問（如cloudfair） 。

2、目前主流的威脅情報平臺記錄了大量掃描器及其關聯組織使用的基礎設施（如代理伺服器）的ip，可以將其作為黑名單，提前進行屏蔽。

3、目前大量的掃描器在掃描時存在特徵（如使用特定的 useragent 或者字典生成數據包），可以通過對流量或者日誌進行分析，鑒定和攔截特定的掃描器行為。

4、使用 waf 或 ips 等安全設備攔截攻擊payload，阻斷掃描的漏洞探測流量。

掃描是TCP/IP協議的一部分。

如果你只針對你認識的客戶進行服務，可以防火牆中設置IP白名單。

斷網

---

1、設置白名單或者黑名單，假如你的網站不想被太多的人看到（比如只想被公司內部的人看到），你可以使用白名單的方式只允許你們公司的IP訪問。假如是一個面向大眾的網站，建議檢測掃描你網站的IP，使用黑名單的方式禁掉這些IP。

2、即使你做的防護再好，也免不了被掃描或者爬取。現在的爬蟲技術能夠輕鬆應對反爬蟲機制，沒有什麼有效的方法能夠完全禁止被爬取或者被掃描。建議伺服器增加資源，防止被掃描導致癱瘓。

3、目前市面上有一些防火牆能夠阻擋一些異常的掃描和爬取。

---

推薦閱讀：